为什么认证只是您云安全计划的一部分
史蒂文·穆雷
2017年7月5日
电子邮件
1 min read
关键要点
Attestations alone don’t guarantee security. 它们确认满足某些标准,但不保证控制措施正常运行或受到适当监控。
Operational readiness matters more than certification. 公司可以通过审核,但其安全工具(如IDS/IPS系统)可能无法正常工作。
Auditors often verify existence, not performance. 许多认证评估系统是否存在,而不是它们是否配置正确或积极维护。
A strong cloud security program blends compliance with continuous monitoring. 认证提供合规基线,但持续的测试和评估确保真正的保护。
Third-party penetration tests reveal real vulnerabilities. 它们提供比调查或检查清单更深入的见解,验证安全措施在真实条件下的有效性。
Vendor evaluations should consider data access and risk exposure. 处理敏感信息的合作伙伴应接受更严格的审查和定期审查。
Effective security requires transparency. 成熟的组织愿意分享政策、事件响应框架和漏洞管理程序。
Q&A 精华
为什么 attestations 不是衡量安全成熟度的可靠标准?
因为它们只证明了所需的控制措施存在,而不是它们的有效性。真正的安全成熟度涉及持续的验证、监控和对威胁的响应。
在仅依赖合规检查方面,常见的失败是什么?
组织可能会部署工具只是为了“走过场”。例如,可能安装了IDS,但实际上并未配置以检测或提醒威胁。
在评估供应商时,除了保证书之外,您还应该审查什么?
始终检查完整的调查报告(不仅仅是摘要),询问年度渗透测试,并请求访问核心安全文档。
第三方测试如何改进安全计划?
渗透测试模拟现实世界的攻击,揭示合规审计忽略的弱点,确保防御按预期运作。
云安全计划成熟的定义是什么?
一种平衡的方法,结合证明、持续监控、数据保护策略、事件响应准备和主动漏洞管理。
如何评估供应商的安全态势?
根据他们访问的数据敏感性进行评估——处理客户数据的供应商应符合更高的安全标准并定期接受审查。
